2023 年五月头号恶意软件：Check Point曝光基于云的恶意软件Guloader

2023 年 6 月，网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2023 年 5 月《全球威胁指数》报告。研究人员报告了基于 shellcode 的下载程序 GuLoader 的新版本，它是上个月第四大最猖獗的恶意软件。凭借完全加密的有效载荷和反分析技术，新型 GuLoader 能够存储在包括 Google Drive 在内的知名公有云服务中而不被发现。与此同时，Qbot 和 Anubis 在相应的排行榜中位列榜首，教育/研究行业仍是最常被攻击的行业。

被网络犯罪分子广泛用于绕过杀毒检测的 GuLoader 恶意软件 发生了重大变化。最新的迭代采用了一种复杂的技术来替换合法进程中的代码，可使其躲开进程监控安全工具的检查。有效载荷经完全加密，隐蔽地存储在包括 Google Drive 在内的知名公有云服务中。这种加密、原始二进制格式以及与加载程序分离的独特组合使杀毒程序无法发现有效载荷，对全球用户和企业构成重大威胁。

上月，Qbot 和 Anubis 也都在相应排行榜上位居榜首。尽管 Microsoft 通过阻止 Office 文件中的宏运行来减缓恶意软件的传播，但 Qbot 运营组织已迅速调整其散播方式。最近出现了一种滥用 Windows 10 写字板程序中的动态链接库 (DLL) 劫持漏洞感染计算机的新趋势。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“网络犯罪分子越来越多地利用公共工具和服务散播和存储恶意软件。来源的可信度不再能确保完全安全。为此，企业亟需开展有关培训以帮助其用户及早识别可疑活动。我们强烈建议，在确认请求真实无害之前，切勿泄露个人信息或下载附件。此外，必须采用高级安全解决方案，例如 Check Point Horizon XDR/XPR，它可以有效地识别所谓的无害行为实际上是否是恶意行为，从而进一步加强针对复杂威胁的防御。”

Check Point 的指数报告显示，教育/研究行业仍是全球网络犯罪分子的首要攻击目标。该报告还指出，“Web 服务器恶意 URL 目录遍历”漏洞是最常被利用的漏洞，全球 49% 的机构因此遭殃。紧随其后的是“Apache Log4j 远程代码执行”和“HTTP 标头远程代码执行”漏洞，分别影响了全球 45% 和 44% 的机构。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

Qbot 是上个月最猖獗的恶意软件，全球 6% 的机构受到波及，其次是 Formbook 和 AgentTesla，分别影响了全球 5% 和 3% 的机构。

• ↑ Qbot – Qbot（又名 Qakbot）是一种多用途恶意软件，于 2008 年首次出现，旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作，并部署更多恶意软件。Qbot 通常通过垃圾邮件传播，采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始，它成为最猖獗的木马之一。
• ↑ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数，并按照其 C&C 命令下载和执行文件。
• ↓AgentTesla – AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT，能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的证书。

主要移动恶意软件

上月，Anubis 跃居最猖獗的移动恶意软件榜首，其次是 AhMyth 和 Hiddad。

• Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
• AhMyth – AhMyth 是一种远程访问木马 (RAT)，于 2017 年被发现，可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后，该恶意软件便可从设备收集敏感信息，并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。
• Hiddad – Hiddad 是一种 Android 恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是显示广告，但它也可以访问操作系统内置的关键安全细节。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud AI（Check Point 安全系统背后的大脑）撰写而成。ThreatCloud AI 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。超过 40 项 AI 和机器学习技术（可识别并拦截新兴威胁）和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了这些情报内容。